开源论坛程序phpBB网站被黑 注册用户数据泄露

LonelyJames发布于 2009-02-05 08:54:10|389 次阅读 字体：大 小 打印预览


流行PHP语言论坛程序phpBB的官方网站近日遭受攻击, 攻击者取走了网站的完整数据库, 包括姓名, 电子邮件, 地址, 和加密以后的用户数据库完全权限密码. 据消息人士透露, 在该网站论坛注册的40万名用户信息被拦截. 由于官方网站的论坛理所当然使用了自家的phpBB, 这一漏洞是否会影响到其他使用phpBB的论坛, 受到广泛关注.
周日的官方解释说, 问题出在论坛的一个插件程序PHPlist, 这是第三方的电子邮件应用. 在黑客攻陷数据库两周之后, 漏洞才被发现. 面对评论中大量要求索回个人资料的回应, 管理员没有任何答复.



一位博客声明对此事件负责. 他披露自己的一个脚本可以破解多于28000个使用陈旧MD5算法加密的密码, 在此信息发布时还没有开始破译这些密码.

phpBB临时论坛声明, 原先的官方论坛并没有使用最新版的phpBB, 而最新版本使用了更加牢靠的加密算法. 用户在升级论坛程序以后, 需要重新登录或注册, 并且为了以防万一, 他们不建议用户沿用旧的用户名或密码. 他们也承认了自己的工作失误, 并向网友道歉. "这充分证明了随时保持电脑上应用程序最新的重要性."

已经确认漏洞只与插件有关, 而与phpBB程序本身无关, 最新版论坛程序也不会受到影响. 1月29日, 受影响的插件PHPlist也发布了堵住漏洞的新版. 不管如何, 对网管和论坛管理者而言, 这都应该被当作一个教训, 因为实际上, 一切都可以避免.

cnBeta编译自the Register